X

מכורים לפורטנייט? הפרטים שלכם נחשפו

חברת צ'קפוינט חשפה כמה פרצות אבטחה במערכת ההזדהות של אפיק גיימס, יצרנית פורטנייט, שאפשרו גניבת פרטי משתמשים רגישים, כמו נתוני כרטיסי אשראי • מקור החולשה: הזדהות מול גורמי צד שלישי כמו גוגל או אפל • EPIC עודכנה עוד בנובמבר ותיקנה את הפרצות

אסף גולןניב ליליאן
, עודכן
0
החשוד הציג עצמו כ"מוכר פורטנייט בזול", אילוסטרציה, צילום: עמי שומן

שלוש פרצות חמורות שנמצאו בפלטפורמת האם של המשחק הפופולרי שאליו התמכרו מאות מיליונים ברחבי העולם חשפו את כלל המשתמשים להשתלטות על החשבונות שלהם ולשאיבת מידע רגיש בידי האקרים. כך פרסמו היום חוקרי צ'קפוינט. מי שאיתרו מטעם החברה את שלוש החולשות היו ערן וקנין ואלון בוקסינר. 

נקודת הכשל שבה אותרו התקלות קשורה להליך שמאפשר למכורים למשחק להיכנס אליו דרך מגוון פלטפורמות שנות וכו' (אייפון, אנדרואיד, מחשבים, קונסולות ועוד), המקושרות להזדהות בצד שלישי כמו גוגל, אפל, פייסבוק וכו'.

הפגם שאותר היה בחיבור בין המסדת של EPIC GAMES - החברה המייצרת של פורטנייט - ובין מערכת הזיהוי בצד שלישי, המנפיקה אישור הזדהות חד-פעמי המכונה בעגה המקצועית "טוקן" (אסימון, בעברית). אומנם, כנדרש, החיבור בין פייסבוק או גוגל או כל חשבון לתוכנה המחברת למשחק היה מוצפן ומוגן, אבל כיוון שההאקר חדר למסדת ההזדהות המקורית עצמה, הוא קיבל גישה לכל הנתונים הרגישים של המשתמש: למעשה נחשפו החשבונות האישיים של משתמשי המשחק, שכללו את הפרטים האישיים של המשתמש, פרטי כרטיס האשראי שלו ושאר נתונים רגישים.

כמו כן, ניתן היה לשמוע בשידור חי את קולותיהם של המשתמשים בחשבונות בזמן אמת (ואת כל המתרחש בסביבתם), במסגרת מערכת התקשורת הפנים-משחקית, ואף לדבר איתם ישירות. 

החולשה במסדת האם, אפשרה לתוקף משיג את פרטי אימות הזהות של המשתמש, וזאת מבלי שהמשתמש הקליד אותם בעצמו. כלומר, לא מדובר בהתקפת פישינג, אלא מצב חמור בהרבה. מצב כזה יכול גם להוביל לחטיפה ולמכירה של חשבונות פורטנייט מושקעים.

בחברת צ'קפוינט מסבירים כי הבדיקה שלהם החלה בעקבות פרסומים על הונאות בחשבונות משתמשים של פורטנייט שבוצעו על ידי הפניית המשתמשים לאתרים מזויפים שבהם הקלידו המשתמשים את פרטיהם האישיים כדי לבצע רכישות במשחק. אבל התגלית של החברה הייתה חמורה הרבה יותר, כיוון שהחולשות שאיתרו חוקרי צ'ק פוינט הן הראשונות שפורסמו שמאפשרות לפגוע במשתמשים ללא ידיעתם, ומבלי שבאופן פעיל נפלו קורבן להונאה והזינו את פרטיהם מרצון. 

לדברי עודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בצ'ק-פוינט :"פורטנייט הוא אחד מהתחביבים הפופולריים ביותר של ילדי העולם. החולשות שמצאנו מאפשרות לתוקפים לבצע פגיעות חמורות מאוד בפרטיות שלהם וניצול מסוכן של זהותם ופרטיהם האישיים".

צ'קפוינט הודיעה לחברת Epic Games על החולשות, וזו הכירה בהן ותיקנה אותן.

 

לחדשות טכנולוגיה נוספות הצטרפו לערוץ הטלגרם שלנו

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אבטחת מידעגיימינגפורטנייט

כדאי להכיר